linode被攻击小记

大概两周前服务器被linode官方给禁止访问了,刚刚才弄好,这个过程值得记录下。

toyko区的linode我一直也就用来shadowsocks和blog,直到两周前发现ss用不了了,blog也无法访问,我自以为是的认为是gfw在作怪,加上两会什么的,就没怎么在意。熬了一周换端口发现还是无法访问,能ping不能ssh,就在linode提交了一个ticket申请换ip,以前都是这样,被墙申请换ip,只不过这个ip用了两年了,应该很稳定,也是迫不得已,不过很快官方邮件过来拒绝了,然后说是我的机器上有malware。

这时才直到自己机器被人当成肉鸡了,作为一个IT行业从业10来年的老兵居然遇到这种事情,而且应该持续了很久,只是我没在意。早先我访问企业信息公示网网页显示过有攻击迹象,还有blog时不时访问不了,我都是重启了事,而且linode官方在两周前就多条ticket提示过我vps有malware,我没去看,就这样才被停掉,跟官方邮件组沟通,按照他们的提示要求一步步解决问题。

首先是进入DashBoard-Linode,到指定linode rescue tab页面,重新抢救下centos7和swap两个区,然后进入weblish页面,按照https://www.linode.com/docs/security/vulnerabilities/scanning-your-linode-for-malware/ 教程扫描整个硬盘,找出malware,并将相关扫描日志和结果全部发给邮件组等邮件组回复确认修复后,就会解禁我的vps。

最后看结果quarantine folder下有三个脚本 h32 h64 xmrig,搜索了下在直到xmrig这是个挖矿程序,然后就懂了,被人当矿机在用了,cpu长期满载去挖矿,难怪mysql会崩溃,也被人用来攻击别的机器来进行植入挖矿,也明白为何会提示风险了。

最后本来我做好服务器重置的准备,看了下电脑,我有备份的习惯,blog资料都还在,ss重新部署就行了,结果意外发现我blog还是好好的,原来只是把恶意软件给清理掉了,还是感谢linode邮件组,另外就是我英文用的最多的地方也就是linode这边了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注